Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Adrien Guinault, Xmco Partners : Le Clickjacking enfin expliqué...

octobre 2008 par XMCO PARTNERS

 Date : 08 Octobre 2008

 Plateforme : Toutes

 Description :

Le Clickjacking est certainement un terme dont vous avez entendu parler récemment. En effet, comme nous vous l’expliquions dans le bulletin n°1222167680, les deux chercheurs Robert Hansen et Jeremiah Grossman étaient sur le point de dévoiler, lors de la conférence OWASP, les détails de cette attaque, avant qu’ils ne soient contraints d’attendre la sortie d’un correctif de la part de plusieurs éditeurs.

L’attaque est aujourd’hui expliquée sur le blog de "Rsnake" alias Robert Hansen [1] après la publication d’une preuve de concept.

Nous ne rentrerons pas dans les détails techniques qui feront l’objet d’un article détaillé et de preuves de concept dans notre "ActuSecu n°21" bientôt disponible.

En quelques mots, l’attaque consiste à utiliser un code Javascript ou des propriétés de style HTML/CSS (opacité, positionnement des calques lors d’une superposition ...) afin de poser sur une animation Flash (ou une page web classique), une page HTML (calque) rendant la visualisation de l’animation Flash impossible.
Lorsque certaines animations Flash souhaitent, par exemple, avoir accès au disque dur du visiteur, une boîte de dialogue est affichée demandant la confirmation de l’utilisateur (boutons Oui/Non). Cependant, dans le cas du "Clickjacking", cette boîte de dialogue n’est pas visible aux yeux de l’internaute.

Le pirate calcule alors l’emplacement du bouton "Oui" de cette boîte de dialogue et ajoute par dessus un lien cliquable.

Ainsi lorsque la victime clique sur ce lien (menu, lien vers une autre page HTML...), ce dernier valide à son insu la boîte d’avertissement de l’animation Flash (qu’il ne peut visualiser). La victime autorise donc l’animation Flash à activer la webcam, le microphone (ou autre ...).

Une preuve de concept a été dévoilée et est disponible à l’adresse [2]. En cliquant sur "Show the jacked iFrame" vous comprendrez la portée de l’attaque, particulièrement astucieuse.

Pour le moment, seule une extension Firefox permet de corriger ce problème de sécurité. Nommée "NoScript" [3], elle alerte l’utilisateur lorsque la souris ou le clavier interagit avec un élément caché sur une page HTML.
Un correctif sera publié fin Octobre par Adobe comme l’explique le lien [4] cité en référence.

 Référence :

[1] http://ha.ckers.org/blog/20081007/clickjacking-details/

[2] http://guya.net/security/clickjacking/game.html

[3] http://noscript.net/getit#direct

[4] http://blogs.adobe.com/psirt/2008/10/clickjacking_security_advisory.html

Consultant Sécurité / Tests d’intrusion


Voir les articles précédents

    

Voir les articles suivants